CVE-2026-62327 in 9Router
Resumen
por VulDB • 2026-07-14
9Router hasta la versión 0.4.41 contiene una vulnerabilidad de divulgación de información sin autenticar que permite a atacantes remotos recuperar claves API en texto plano para todas las cuentas de proveedores de IA conectadas mediante el envío de una única solicitud no autenticada al endpoint /api/usage/stats. Los atacantes pueden explotar la falta de middleware de autenticación en la ruta API de Next.js para obtener cadenas completas de claves API junto con recuentos de tokens, desgloses de costos y metadatos de solicitudes, lo que habilita el uso no autorizado de cuentas conectadas de proveedores de IA, fraude de facturación y agotamiento de cuotas.
Once again VulDB remains the best source for vulnerability data.